Delen via


Microsoft Entra-verificatie met Azure Database for PostgreSQL - Flexible Server

VAN TOEPASSING OP: Azure Database for PostgreSQL - Flexibele server

Microsoft Entra-verificatie is een mechanisme voor het maken van verbinding met een flexibele Azure Database for PostgreSQL-server met behulp van identiteiten die zijn gedefinieerd in Microsoft Entra-id. Met Microsoft Entra-verificatie kunt u databasegebruikersidentiteiten en andere Microsoft-services op een centrale locatie beheren, waardoor het beheer van machtigingen wordt vereenvoudigd.

Voordelen van het gebruik van Microsoft Entra ID zijn:

  • Verificatie van gebruikers in Azure-services op een uniforme manier.
  • Beheer van wachtwoordbeleid en wachtwoordrotatie op één plaats.
  • Ondersteuning voor meerdere vormen van verificatie, waardoor wachtwoorden niet meer hoeven op te slaan.
  • De mogelijkheid van klanten om databasemachtigingen te beheren met behulp van externe (Microsoft Entra ID)-groepen.
  • Het gebruik van PostgreSQL-databaserollen voor het verifiëren van identiteiten op databaseniveau.
  • Ondersteuning van verificatie op basis van tokens voor toepassingen die verbinding maken met flexibele Azure Database for PostgreSQL-server.

Vergelijking van functies en mogelijkheden van Microsoft Entra ID tussen implementatieopties

Microsoft Entra-verificatie voor azure Database for PostgreSQL flexibele server bevat onze ervaring en feedback die zijn verzameld van azure Database for PostgreSQL enkele server.

De volgende tabel bevat vergelijkingen op hoog niveau van functies en mogelijkheden van Microsoft Entra ID tussen azure Database for PostgreSQL enkele server en Flexibele Azure Database for PostgreSQL-server.

Functie/mogelijkheid Azure Database for PostgreSQL single server Azure Database for PostgreSQL flexible server
Meerdere Microsoft Entra-beheerders Nr. Ja
Beheerde identiteiten (door het systeem en de gebruiker toegewezen) Gedeeltelijk Volledig
Ondersteuning voor uitgenodigde gebruikers Nr. Ja
Mogelijkheid om wachtwoordverificatie uit te schakelen Niet beschikbaar Beschikbaar
Mogelijkheid van een service-principal om te fungeren als een groepslid Nr. Ja
Controles van Microsoft Entra-aanmeldingen Nr. Ja
Ondersteuning voor PgBouncer Nr. Ja

Hoe Microsoft Entra ID werkt in azure Database for PostgreSQL flexibele server

In het volgende diagram op hoog niveau ziet u hoe verificatie werkt wanneer u Microsoft Entra-verificatie gebruikt met flexibele Azure Database for PostgreSQL-server. De pijlen geven communicatiepaden aan.

verificatiestroom

Zie Configure and sign in with Microsoft Entra ID for Azure Database for PostgreSQL flexible server (Configureren en aanmelden met Microsoft Entra ID voor Azure Database for PostgreSQL - Flexible Server) voor de stappen voor het configureren van Microsoft Entra ID voor Azure Database for PostgreSQL flexibele server.

Verschillen tussen een PostgreSQL-beheerder en een Microsoft Entra-beheerder

Wanneer u Microsoft Entra-verificatie inschakelt voor uw flexibele server en een Microsoft Entra-principal toevoegt als Microsoft Entra-beheerder, is het account:

  • Haalt dezelfde bevoegdheden op als de oorspronkelijke PostgreSQL-beheerder.
  • Kan andere Microsoft Entra-functies op de server beheren.

De PostgreSQL-beheerder kan alleen lokale gebruikers op basis van een wachtwoord maken. Maar de Microsoft Entra-beheerder heeft de bevoegdheid om zowel Microsoft Entra-gebruikers als lokale gebruikers op basis van wachtwoorden te beheren.

De Microsoft Entra-beheerder kan een Microsoft Entra-gebruiker, Microsoft Entra-groep, service-principal of beheerde identiteit zijn. Het gebruik van een groepsaccount als beheerder verbetert de beheerbaarheid. Hiermee kunt u de gecentraliseerde toevoeging en verwijdering van groepsleden in Microsoft Entra-id toestaan zonder de gebruikers of machtigingen binnen het flexibele serverexemplaren van Azure Database for PostgreSQL te wijzigen.

U kunt meerdere Microsoft Entra-beheerders gelijktijdig configureren. U hebt de mogelijkheid om wachtwoordverificatie te deactiveren voor een exemplaar van een flexibele Azure Database for PostgreSQL-server voor verbeterde controle- en nalevingsvereisten.

beheerdersstructuur

Notitie

Een service-principal of beheerde identiteit kan fungeren als volledig functionele Microsoft Entra-beheerder in Azure Database for PostgreSQL flexibele server. Dit was een beperking in azure Database for PostgreSQL enkele server.

Microsoft Entra-beheerders die u maakt via Azure Portal, een API of SQL hebben dezelfde machtigingen als de gewone beheerder die u tijdens het inrichten van de server hebt gemaakt. Databasemachtigingen voor niet-beheerdersrollen van Microsoft Entra worden op dezelfde manier beheerd als gewone rollen.

Verbinding via Microsoft Entra-identiteiten

Microsoft Entra-verificatie ondersteunt de volgende methoden om verbinding te maken met een database met behulp van Microsoft Entra-identiteiten:

  • Wachtwoordverificatie voor Microsoft Entra
  • Geïntegreerde Microsoft Entra-verificatie
  • Microsoft Entra universeel met meervoudige verificatie
  • Active Directory-toepassingscertificaten of clientgeheimen
  • Beheerde identiteit

Nadat u zich hebt geverifieerd bij Active Directory, haalt u een token op. Dit token is uw wachtwoord voor het aanmelden.

Volg de stappen in Configureren en aanmelden met Microsoft Entra ID voor Azure Database for PostgreSQL flexibele server om Microsoft Entra ID voor Azure Database for PostgreSQL - Flexible Server te configureren.

Andere overwegingen

  • Als u wilt dat de Microsoft Entra-principals eigenaar worden van de gebruikersdatabases binnen een implementatieprocedure, voegt u expliciete afhankelijkheden toe binnen uw implementatiemodule (Terraform of Azure Resource Manager) om ervoor te zorgen dat Microsoft Entra-verificatie is ingeschakeld voordat u gebruikersdatabases maakt.

  • Meerdere Microsoft Entra-principals (gebruiker, groep, service-principal of beheerde identiteit) kunnen op elk gewenst moment worden geconfigureerd als Microsoft Entra-beheerder voor een exemplaar van een flexibele Azure Database for PostgreSQL-server.

  • Alleen een Microsoft Entra-beheerder voor PostgreSQL kan in eerste instantie verbinding maken met het flexibele serverexemplaren van Azure Database for PostgreSQL met behulp van een Microsoft Entra-account. De Active Directory-beheerder kan vervolgens nieuwe Microsoft Entra-databasegebruikers configureren.

  • Als een Microsoft Entra-principal wordt verwijderd uit De Microsoft Entra-id, blijft deze behouden als postgreSQL-rol, maar kan het geen nieuw toegangstoken meer verkrijgen. In dit geval, hoewel de overeenkomende rol nog steeds bestaat in de database, kan deze niet worden geverifieerd bij de server. Databasebeheerders moeten het eigendom overdragen en rollen handmatig verwijderen.

    Notitie

    De verwijderde Microsoft Entra-gebruiker kan zich nog steeds aanmelden totdat het token verloopt (maximaal 60 minuten van het verlenen van tokens). Als u de gebruiker ook verwijdert uit een flexibele Azure Database for PostgreSQL-server, wordt deze toegang onmiddellijk ingetrokken.

  • Flexibele Azure Database for PostgreSQL-server komt overeen met toegangstokens voor de databaserol met behulp van de unieke Microsoft Entra-gebruikers-id van de gebruiker, in tegenstelling tot het gebruik van de gebruikersnaam. Als een Microsoft Entra-gebruiker wordt verwijderd en er een nieuwe gebruiker met dezelfde naam wordt gemaakt, is azure Database for PostgreSQL flexibele server van mening dat een andere gebruiker. Als een gebruiker wordt verwijderd uit Microsoft Entra ID en er een nieuwe gebruiker met dezelfde naam wordt toegevoegd, kan de nieuwe gebruiker geen verbinding maken met de bestaande rol.

Veelgestelde vragen

  • Wat zijn de beschikbare verificatiemodi in azure Database for PostgreSQL Flexibele server?

    Flexibele Azure Database for PostgreSQL-server ondersteunt drie verificatiemodi: alleen PostgreSQL-verificatie, alleen Microsoft Entra-verificatie en zowel PostgreSQL- als Microsoft Entra-verificatie.

  • Kan ik meerdere Microsoft Entra-beheerders configureren op mijn flexibele server?

    Ja. U kunt meerdere Microsoft Entra-beheerders configureren op uw flexibele server. Tijdens het inrichten kunt u slechts één Microsoft Entra-beheerder instellen. Maar nadat de server is gemaakt, kunt u zo veel Microsoft Entra-beheerders instellen als u wilt door naar het deelvenster Verificatie te gaan.

  • Is een Microsoft Entra-beheerder alleen een Microsoft Entra-gebruiker?

    Nee Een Microsoft Entra-beheerder kan een gebruiker, groep, service-principal of beheerde identiteit zijn.

  • Kan een Microsoft Entra-beheerder lokale gebruikers op basis van een wachtwoord maken?

    Een Microsoft Entra-beheerder heeft de bevoegdheid om zowel Microsoft Entra-gebruikers als lokale gebruikers op basis van wachtwoorden te beheren.

  • Wat gebeurt er wanneer ik Microsoft Entra-verificatie op mijn flexibele server inschakelen?

    Wanneer u Microsoft Entra-verificatie instelt op serverniveau, wordt de PGAadAuth-extensie ingeschakeld en wordt de server opnieuw opgestart.

  • Hoe kan ik aanmelden met behulp van Microsoft Entra-verificatie?

    U kunt clienthulpprogramma's zoals psql of pgAdmin gebruiken om u aan te melden bij uw flexibele server. Gebruik uw Microsoft Entra-gebruikers-id als gebruikersnaam en uw Microsoft Entra-token als uw wachtwoord.

  • Hoe kan ik mijn token genereren?

    U genereert het token met behulp van az login. Zie Het Microsoft Entra-toegangstoken ophalen voor meer informatie.

  • Wat is het verschil tussen groepsaanmelding en afzonderlijke aanmelding?

    Het enige verschil tussen aanmelden als lid van een Microsoft Entra-groep en aanmelden als een afzonderlijke Microsoft Entra-gebruiker ligt in de gebruikersnaam. Voor aanmelden als afzonderlijke gebruiker is een afzonderlijke Microsoft Entra-gebruikers-id vereist. Voor aanmelden als groepslid is de groepsnaam vereist. In beide scenario's gebruikt u hetzelfde afzonderlijke Microsoft Entra-token als het wachtwoord.

  • Wat is de levensduur van het token?

    Gebruikerstokens zijn maximaal 1 uur geldig. Tokens voor door het systeem toegewezen beheerde identiteiten zijn maximaal 24 uur geldig.

Volgende stappen